★机械工业仪器仪表综合技术经济研究所张亚彬，张鑫，郭苗，刘瑶，王麟琨，孙爱

★国家石油天然气管网集团有限公司油气调控中心孙铁良，黄河

1　引言

数字化转型显著提升了工业生产系统的开放化和互联化水平，信息空间与物理空间耦合程度越来越紧密。然而，IT与OT的深度融合也使得工业生产系统面临前所未有的安全挑战。传统封闭的工业环境逐步开放，工业生产系统结构的复杂化、网络边界的模糊化以及外部威胁的多样化，导致工业生产系统成为网络攻击的重要目标^[1]。近年来，针对关键基础设施的跨空间攻击事件频发，攻击者通过信息空间的漏洞渗透至物理空间，引发生产偏离、设备损毁甚至安全事故，严重威胁工业生产安全。在此背景下，如何构建面向工业生产安全的网络安全体系，成为工业领域亟需解决的核心问题。

当前，工业生产系统安全防护主要面临三方面挑战。其一，IT与OT的深度融合打破了传统安全边界，跨空间攻击路径的隐蔽性和破坏性显著增强。攻击者可通过篡改控制指令、干扰数据传输等手段直接引发物理空间的生产过程偏离，同时篡改或瘫痪安全联锁系统，导致生产过程偏离在物理空间引起设备损毁甚至生产事故^[2]。其二，网络安全与功能安全的协同机制尚未完善。例如，加密认证等安全措施可能增加系统延迟，影响功能安全对实时性的严苛要求，而功能安全设计的冗余性又可能引入新的网络安全漏洞。其三，现有风险评估与防护体系多聚焦单一领域，缺乏覆盖信息空间、物理空间及生产过程的多维协同框架，难以实现动态风险感知与综合决策。工业过程要求知识的汇聚、关联与利用。尽管已有研究提出信息物理生产系统的安全一体化技术，但仍需进一步解决跨域多维风险的攻击建模、实时感知与动态响应等问题。

本文立足于工业生产安全的实际需求，以网络安全与功能安全协同理论为基础，提出面向工业生产安全的网络安全体系框架。在理论层面，本文提出基于“生产过程偏离”的风险评估方法，以物理空间的生产参数异常为切入点，逆向追溯信息空间的威胁路径，建立跨空间攻击场景的量化模型，为风险纵深感知与协同防护提供理论支撑；在技术层面，本文围绕五大关键技术构建体系框架：

（1）基于生产过程偏离的网络安全风险评估，融合改进的HAZOP、FMEA等传统工具，实现信息物理风险的动态分析；

（2）覆盖工业生产过程的网络安全感知，通过多维度数据采集与威胁检测，提升对控制网络和物理设备的实时监控能力；

（3）融合功能安全的网络安全防护，遵循“安全功能独立设计优先，不能解耦时以业务连续性优先”原则，设计兼容实时性与安全性的纵深防护策略；

（4）网络安全动态综合决策，基于风险量化模型与实时感知数据，实现跨空间攻击的快速响应；

（5）融合网络安全和功能安全的应急处置，整合网络攻击遏制、生产系统恢复与功能安全验证，形成多专业协同的应急机制。

2　总体框架

工业生产系统网络安全体系框架如图1所示。该框架基于工业领域IT与OT融合发展的趋势，以网络安全、功能安全以及物理安全为基础，解决了工业生产系统信息空间和物理空间的综合风险管控问题。根据工业控制与生产安全强耦合特性，利用跨空间攻击原理，建立基于生产过程偏离的网络安全风险管控框架，以“生产过程偏离”为切入点，形成“过程偏离辨识→威胁/危险辨识→初始风险分析→残余风险分析→风险管理”流程，是本体系框架的重要基础（见3.1节），为风险纵深感知、协同防护、动态决策和应急处置提供了理论支撑。在感知层方面，覆盖工业纵深的网络安全感知技术将感知维度从传统信息系统网络拓扑延伸到了控制网络，实现了全流量、多要素的威胁检测（见3.2节）；网络安全动态综合决策机制跨空间攻击风险量化模型实现了动态风险计算，并依据规则做出决策（见3.3节）；融合功能安全的网络安全防护着重强调了网络防护与功能安全之间的兼容性和协同性（见3.4节）；必要时，动态触发融合网络安全、功能安全的应急响应机制（见3.5节）。

图1工业生产系统网络安全体系框架图

3　关键技术

3.1　基于生产过程偏离的网络安全风险评估

在IT和OT融合发展趋势下，由信息空间渗透至物理空间的跨空间攻击成为了破坏生产过程稳定性，甚至导致安全生产事故的一种潜在方式。此类攻击一旦突破信息空间与物理空间的交互层，物理空间的生产过程所面临的危险源不仅包括人员误操作、硬件随机故障，还包括“威胁”^[3-4]。因此，从保障物理空间中生产过程安全的目标发出，一方面需要辨识高价值或关键的物理资产及其安全（Safety）属性；另一方面，也需要梳理出来自信息空间的威胁通过交互层渗透至物理空间的路径及其网络安全属性，从而建立一种基于生产过程偏离的风险评估框架，如图2所示。该框架以物理空间的生产过程偏离为起点，挖掘跨空间的信息物理破防场景，评估风险并提出管控措施。生产过程偏离是指表征生产过程安全性、稳定性的参数高于或低于正常区间，能够直接或间接引起生产破坏。以生产过程偏离为驱动点，依据信息空间与物理空间的资产拓扑图和逻辑控制关系，采用自下而上的方式分析人员误操作、硬件随机故障以及威胁/漏洞等危险源，计算初始风险；同时，评估网络安全措施、功能安全措施、物理安全措施的有效性，计算残余风险。依据残余风险的可接受程度，确定改进方向。在此框架下，可以通过改进HAZOP、FMEA、故障树等传统工具，实现生产过程偏离驱动的工业生产系统综合风险评估。

图2基于生产过程偏离的风险评估框架图

3.2　覆盖工业纵深的网络安全感知

在3.1节，基于生产过程偏离的风险评估为确定需要重点感知的信息空间、物理空间的风险参数提供了依据。在工业生产系统设计阶段，通过风险评估可以辨识出高风险的跨空间攻击路径，明确这些路径上需要重点感知的危险源（含威胁、硬件故障等），进而设计网络安全感知技术、功能安全感知技术和物理安全感知技术。在运行阶段，通过3.1节风险评估，可以评估多种安全感知技术的充分必要性，为进一步提升多维安全感知能力提供建议。为了实现多维安全的全面感知，需要搭建覆盖工业生产过程的多维安全协同感知技术体系，如图3所示，实现信息空间与物理空间的综合感知。

图3覆盖工业生产纵深的网络安全感知

网络拓扑构成主要包括现场仪器仪表、PLC、DCS、交换机、上位机等，如图3所示。针对工业生产系统，部署系统网络报文检测设备和控制网络报文检测设备。系统网络用于将操作员站、工程师站、系统服务器等操作层上位机设备和PLC/DCS主控制器连接起来。工控主机安全防护系统部署于上位机，流量异常识别与融合响应平台通过接入交换机的镜像数据进行工作，工业网络综合安全防护网关负责采集交换机与外界设备之间的报文数据，工控终端安全接入设备部署在交换机与PLC/DCS控制器之间。控制网络报文检测设备主要负责采集解析PLC/DCS控制器以下的报文。

3.3　网络安全动态综合决策

基于3.1节和3.2节的关键技术，设计动态风险综合决策架构（见图4）。其中，3.1节提出的风险评估框架用于建立风险评估模型；3.2节给出的安全纵深感知框架能够实时感知生产过程偏离、深层次的人员误操作或硬件随机故障，检测信息空间的威胁或漏洞，作为风险评估模型的输入，实现对跨空间攻击风险的动态计算，并根据风险计算结果，作出综合决策。必要时，启动预设的应急响应机制和处置方案（见3.5节）。

动态风险综合决策的基本原则如下：

（1）仅感知到信息空间有异常时，优先触发网络安全防护措施；

（2）感知到信息空间的攻击事件影响到物理空间生产过程安全时，同时触发网络安全防护措施和功能安全防护措施；

（3）仅感知到物理空间有生产安全事件时，优先触发物理空间的功能安全措施。

图4网络安全动态综合决策架构图

3.4　融合功能安全的网络安全防护

3.1节构建的风险评估框架为设计或优化网络安全防护措施、功能安全措施和物理安全措施提供了方法。根据工业生产系统分层架构及跨空间攻击路径特点，本文提出了融合功能安全的纵深防护体系。通常，信息空间会独立部署网络安全措施，物理空间会独立设置功能安全措施或物理安全措施。然而，此种独立部署模式可能会引起网络安全措施与功能安全措施的冲突^[5-6]。如，加密和认证网络安全措施可能增加工业生产系统延迟效应，影响生产过程的实时性，然而功能安全措施则要求系统快速响应，延迟可能导致安全生产事故。为了解决网络安全与功能安全的冲突，应该遵守安全功能可用性优先原则，也就是以满足安全功能执行的可用性为基准，当确认网络安全防护可能妨碍安全功能执行时，应以满足功能安全要求为优先。同时，满足补偿原则，若还存在未能降低的网络安全风险，则在保证功能安全要求实现的前提下，应通过替代的其他风险降低措施进行补偿，以将风险控制在可容忍范围。

3.5　融合网络安全和功能安全的应急处置

针对工业生产系统的跨空间攻击风险，应将网络安全应急处置相关考虑融入生产安全应急响应中来，形成基于工艺知识的融合网络安全、功能安全与生产本体安全的综合安全应急处置方案。这与传统网络安全应急处置有显著区别，详细区别如表1所示。

表1两类安全事件的应急处置的不同之处

然而，需要注意的是，无论是否考虑功能安全，重大网络安全事件的应急处置均需以风险分析为基础，识别攻击路径的初始访问点和潜在后果；均需协调多种救援专业组（如现场处置组、安全防护组、技术分析组、资源保障组）协同响应；均需依赖攻击检测与溯源能力，要求快速隔离遭受感染设备或网络节点，抑制攻击扩散；同时关注网络攻击的动态演化特性，尤其是对生产系统具有潜在影响的攻击，通过应急预案的规划和演练，提升应急响应的效率^[7]。未来，建议涉及关键基础设施运营的企业，宜尽快将网络安全事件应急预案与生产安全事故应急预案实现融合和协同，以提高应对工业生产系统跨空间攻击事件的应急响应能力。

4　结论

为了提升工业生产系统在面临网络安全威胁时的韧性，本文建立了面向工业生产安全的网络安全体系框架，阐述了基于生产过程偏离的风险评估、覆盖工业纵深的网络安全感知、融合功能安全的网络安全防护、网络安全动态综合决策、融合网络安全和功能安全的应急处置五项关键技术的框架和关系，对工业网络安全与功能安全的融合理论与技术发展具有指导意义。

★基金项目：国家重点研发计划项目（2023YFB3107703）

作者简介：

张亚彬（1986-），男，河北保定人，高级工程师，博士，现就职于机械工业仪器仪表综合技术经济研究所，主要研究方向为智能制造与工控安全共性关键技术及标准研制。

张　鑫（1990-），男，山东聊城人，高级工程师，博士，现就职于机械工业仪器仪表综合技术经济研究所，主要研究方向为风险评估等共性关键技术研究及标准研制。

郭　苗（1985-），女，山西运城人，正高级工程师，硕士，现就职于机械工业仪器仪表综合技术经济研究所，主要研究方向为工控安全关键技术相关课题研究、标准研制及工程化应用。

刘　瑶（1987-），女，江苏泰州人，正高级工程师，学士，现就职于机械工业仪器仪表综合技术经济研究所，主要研究方向为功能安全、工控信息安全及安全一体化。

王麟琨（1974-），男，黑龙江人，教授级高工，博士，现就职于机械工业仪器仪表综合技术经济研究所，主要研究方向为现场总线、机电控制。

孙　爱（2002-），女，北京密云人，学士，现就职于机械工业仪器仪表综合技术经济研究所，主要研究方向为过程工业安全关键技术及标准研制。

孙铁良（1967-），男，山东德州人，高级工程师，学士，现就职于国家石油天然气管网集团有限公司油气调控中心，主要研究方向为自动化控制、通信和工控系统网络安全等。

黄　河（1984-），男，重庆永川人，高级工程师，硕士，现就职于国家石油天然气管网集团有限公司油气调控中心，主要研究方向为自动化控制和工控系统网络安全等。

参考文献：

[1] Grubbs R, Stoddard J, Freeman S, et al. Evolution and trends of industrial control system cyber incidents since 2017[J]. 2021.

[2] Friedberg I, McLaughlin K, Smith P, et al. STPA-SafeSec: Safety and security analysis for cyber-physical systems[J]. Journal of information security and applications, 2017, 34 : 183 - 196.

[3] 刘瑶, 张鑫, 王麟琨. 信息物理生产系统(CPPS)面临的安全挑战与解决思路[J]. 中国仪器仪表, 2024, (2) : 78 - 83.

[4] 张鑫, 李天佑, 刘瑶, 等. 信息物理生产系统(CPPS)的安全一体化技术要点分析[J]. 中国仪器仪表, 2024, (3) : 76 - 80.

[5] 熊文泽, 王麟琨, 刘瑶. 信息物理生产系统(CPPS)安全一体化设计与工程[J]. 中国仪器仪表, 2024, (4) : 74 - 79.

[6] 张亚彬, 张鑫, 王麟琨, 等. 油气管网场站工控系统融合安全防护策略[J]. 自动化博览, 2025, 42 (1) : 20 - 23.

[7] 梅恪, 张亚彬, 尚羽佳, 等. 5G网络制造系统纵深防护理论与技术[M]. 北京: 机械工业出版社.

摘自《自动化博览》2025年6月刊